本發明公開了一種數字證書管理方法和裝置，涉及計算機技術領域。該方法的一具體實施方式包括：對于每一個區塊鏈節點，生成一對非對稱密鑰對，所述非對稱密鑰對指示了所述區塊鏈節點對應的公鑰分量及私鑰分量；生成一對全局密鑰對，所述全局密鑰對指示了全局公鑰及全局私鑰，并使用所述全局私鑰對預設根證書信息進行簽名以生成根證書；基于簽名生成算法聚合一個或多個所述區塊鏈節點的私鑰分量，以生成一個或多個聚合公鑰；將所述一個或多個聚合公鑰、所述全局公鑰、所述根證書寫入區塊鏈的創世區塊中。該實施方式實現了聚合公鑰與全局公鑰解耦，保證了在管理成員出現變更的情況下，已簽發數字證書的正常使用。

技術領域

本發明涉及計算機技術領域，尤其涉及一種數字證書管理方法和裝置。

背景技術

CA(Certificate Authority，認證中心)作為PKI(Public Key Infrast ructure，公鑰基礎設施)中的重要組成部分，負責簽發可以識別用戶身份的數字證書。用于簽發數字證書的CA私鑰一旦泄露，則由該CA簽發的所有數字證書都將失去效力，因而保證CA私鑰的安全性是整個PKI安全的核心。

為提高CA私鑰的安全，提出了多方共同管理CA的方案。但是在目前實現的多方共同管理CA的場景中，每一個管理成員均可根據自身需求簽發數字證書，由于缺乏其他管理成員的監督或統一的協調監管機制，任何一方對CA私鑰的使用不當均有可能引入不可控的外界風險。此外，在實際的管理過程中，會涉及CA私鑰共同管理成員的變更，進而影響已簽發數字證書的正常使用。

發明內容

有鑒于此，本發明提供一種數字證書管理方法和裝置，既能夠實現對多方管理成員對數字證書簽發的共同管控，避免因任一方管理成員管理失當造成的私鑰泄露問題，又可以在管理成員出現變更的情況下，保證已簽發數字證書的正常使用。

為實現上述目的，根據本發明的一個方面，提供了一種數字證書管理方法，包括：

對于每一個區塊鏈節點，生成一對非對稱密鑰對，所述非對稱密鑰對指示了所述區塊鏈節點對應的公鑰分量及私鑰分量；

生成一對全局密鑰對，所述全局密鑰對指示了全局公鑰及全局私鑰，并使用所述全局私鑰對預設根證書信息進行簽名以生成根證書；

基于簽名生成算法聚合一個或多個所述區塊鏈節點的私鑰分量，以生成一個或多個聚合公鑰；

將所述一個或多個聚合公鑰、所述全局公鑰、所述根證書寫入區塊鏈的創世區塊中。

可選地，還包括：

接收用戶發送的數字證書生成請求，所述數字證書生成請求指示了第一用戶信息；

將所述第一用戶信息廣播至區塊鏈上，以使得所述區塊鏈上參與生成同一所述聚合公鑰的區塊鏈節點使用對應的私鑰分量對所述第一用戶信息進行簽名，以生成第一簽名信息；

聚合所述第一簽名信息以生成第一數字證書，所述第一數字證書指示了所述區塊鏈節點的標識信息。

可選地，還包括：

將所述第一數字證書上傳至區塊鏈，以供區塊鏈節點或智能合約根據所述第一數字證書指示的區塊鏈節點的標識信息，從所述創世區塊中獲取所述聚合公鑰，并使用所述聚合公鑰對所述第一數字證書進行驗證；

在所述第一數字證書驗證通過的情況下，使用所述全局密鑰對中的全局私鑰對所述第一用戶信息進行簽名，以為所述用戶生成第二數字證書。

可選地，還包括：

將所述第二數字證書上傳至區塊鏈，以供區塊鏈節點或智能合約從所述創世區塊中獲取所述根證書或所述全局公鑰，并使用所述全局公鑰或所述根證書指示的全局公鑰對所述第二數字證書進行驗證。

可選地，還包括：